10 月 14 日,網路上出現一則有關 Sandworm team (沙蟲小隊) 駭客團體的報導。在初步研究過相關的惡意程式樣本和網域之後,趨勢科技很快就發現該團體的主要對象應該是使用 SCADA (監控與資料擷取) 系統的企業,尤其專門鎖定奇異公司智慧型平台 CIMPLICITY HMI 解決方案套裝軟體的使用者。 我們發現該團體使用 .cim 和 .bcl 檔案為攻擊工具,兩者都是 CIMPLICITY 軟體所使用的檔案。另一項證明其專門鎖定 CIMPILICITY 的證據是,其惡意程式會透過 %CIMPATH% 這個環境變數找到 CIMPLICITY 在目標系統上的安裝目錄,然後將其檔案複製到該目錄內。
圖 1:內含環境變數的字串。
CIMPLICITY 是一個搭配 SCADA 系統使用的套裝軟體。HMI 是任何一個 SCADA 系統都必備的主要元件之一,HMI 代表人機介面 (Human-Machine Interface),基本上就是操作主控台,用來監視及控制工業環境中的各項裝置,這些裝置可能負責自動化控制或安全控管。
圖 2 示範電力輸送系統的 HMI 所在位置。此外,您也可以在企業網路中看到設計、開發和測試用的 HMI。
圖 2:監控與資料擷取 (SCADA) 系統範例。
值得注意的一點是,我們目前已看到歹徒利用 CIMPLICITY 為攻擊途徑,但尚未發現惡意程式實際操弄任何 SCADA 系統或資料。但由於 HMI 在企業總部和控制網路當中都有,因此這項攻擊可用於攻擊特定網段或者從企業總部橫跨至控制網路。 繼續閱讀
